Outsourcing
Outsourcing ist stark im Trend — sowohl in der Wirtschaft als auch in der öffentlichen Verwaltung. Die Konzentration auf die eigenen Kernkompetenzen, organisationsübergreifende Arbeitsteilungen sowie wachsende Ansprüche an die Datenverarbeitung führten in den letzten Jahren zu einer stetigen Zunahme des Outsourcings.
Beim Outsourcing werden die Tätigkeiten im Unternehmen auf Kernkompetenzen beschränkt, indem man Nicht-Kernkompetenzen an externe Dienstleister auslagert. Dadurch macht sich das Unternehmen nicht nur externes Fachwissen nutzbar. Vielmehr lassen sich im Idealfall auch die Produktivität steigern und Kosten senken.
In der Praxis gibt es zahlreiche und sehr unterschiedliche Formen des Outsourcings: Business Processing Outsourcing, Knowledge Process Outsourcing, konzerninternes und konzernexternes Outsourcing, Transformational Outsourcing, Complete und Selective Outsourcing sowie viele andere. Eines haben jedoch alle Formen des Outsourcings gemeinsam: Oft werden auch personenbezogene Daten ausgelagert und bearbeitet, die dem Datenschutzrecht unterstehen.
Das schweizerische und das europäische Datenschutzrecht sind jedoch wirtschaftsfreundlich. Sie privilegieren die Auslagerung von personenbezogenen Datenbearbeitungen. Normalerweise muss sich eine Weitergabe von personenbezogenen Daten an einen Dritten auf eine gesetzliche Grundlage oder auf die Einwilligung der betroffenen Personen abstützen können. Beim Outsourcing hingegen ist die Einwilligung der betroffenen Personen nicht notwendig, wenn bestimmte datenschutzrechtliche Voraussetzungen erfüllt sind.
Das schweizerische Datenschutzrecht schreibt z. B. vor, dass das Bearbeiten von Personendaten durch Vereinbarung oder Gesetz Dritten übertragen werden kann, wenn die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte. Es dürfen auch keine gesetzlichen oder vertraglichen Geheimhaltungspflichten bestehen, welche die Auslagerung verbieten. Zudem muss das auftraggebende Unternehmen insbesondere sicherstellen, dass der beauftragte Dritte die Datensicherheit gewährleistet.
Falls diese Voraussetzungen erfüllt sind, ist ein Outsourcing in der Regel problemlos möglich. Die Einwilligungen der be- troffenen Personen (wie von Kunden, Mitarbeitenden), deren Daten an einen Dritten ausgelagert werden, sind dann nicht erforderlich.
Wichtig: Der Outsourcinggeber hat die Pflicht, den Outsourcingnehmer sorgfältig auszuwählen (cura in eligendo), zu instruieren (cura in instruendo) und zu überwachen (cura in custodiendo). Diese Pflichten lassen sich nicht an den beauftragten Dritten (den Outsourcingnehmer) delegieren und treffen immer den Outsourcinggeber (den Auftraggeber). In der Praxis besteht jedoch manchmal der Irrglaube, dass man diese Pflichten und die datenschutzrechtliche Verantworlichkeit vollständig an das beauftragte Unternehmen (bzw. den Outsourcingnehmer) delegieren könne. Dem ist jedoch nicht so — im Gegenteil: Der Outsourcinggeber muss im Datenschutzverletzungsfall beim beauftragten Unternehmen beweisen, dass er den Outsourcingnehmer sorgfältig ausgewählt, instruiert und überwacht hat.
Um dies beweisen zu können, werden unter anderem die datenschutzrechtlichen Pflichten und Vorkehrungen in einem separaten datenschutzrechtlichen Outsourcingvertrag festgelegt, der den Grunddienstleistungsvertrag ergänzt (z. B. als Anhang oder separater Vertrag). Zusätzlich werden auch die Mitarbeitenden des beauftragten Unternehmens durch eine Geheimhaltungsvereinbarung (auch sog. "Verpflichtung auf das Datengeheimnis") in die datenschutzrechtliche Pflicht genommen. Sie regelt den konkreten Umgang mit den personenbezogenen Daten des auftraggebenden Outsourcinggebers durch die Mitarbeitenden des Outsourcingnehmers. Bei einer Auslagerung ins Ausland muss auch der grenzüberschreitende Datenexport geregelt werden. Dabei ist namentlich die Gleichwertigkeit des Datenschutzes im Ausland sicherzustellen.
Wir übernehmen für unsere Kunden sämtliche vertraglichen Arbeiten, die für eine datenschutzkonforme Auslagerung notwendig sind. Auf Wunsch erarbeiten wir auch den Grunddienstleistungsvertrag (bzw. ein Service Level Agreement).
Wir erarbeiten die vertraglichen Grundlagen insbesondere für die nachstehenden Outsourcingformen:
- Application Service Providing (ASP) als Spezialform eines Outsourcings (unechtes Outsourcing)
- Konzerninternes Outsourcing
- Konzernexternes Outsourcing
- Complete Outsourcing
- Selective Outsourcing
- Business Processing Outsourcing (BPO)
- Knowledge Process Outsourcing (KPO)
- Transformational Outsourcing